Píldora de Concienciación

pildora


La energía que nos delata

pildora ver enlace…


Piénsalo antes de enviar

bitmap

 


Análisis de situación ISO27001 en las organizaciones.

La información es uno de los principales activos de las organizaciones, pudiendo llegar a poner en peligro su continuidad en caso de pérdida de la confidencialidad, integridad o disponibilidad de la información. Por este motivo, son necesarios unos sistemas de protección adecuados, así como una correcta gestión de la seguridad. La norma ISO/IEC 27001 nace con la finalidad de establecer las bases de un SGSI (Sistema de Gestión de la Seguridad de la Información) utilizando como marco de referencia las 12 áreas de actuación definidas en el Código de Buenas Prácticas en Gestión de la Seguridad de la Información identificadas en la norma ISO/IEC 27002.

Los objetivos del Análisis Diferencial se resumen en:

Orientar la Implantación de un SGSI: Es el primer paso hacia la implantación de Para realizar una implantación con éxito de un SGSI es necesaria la total implicación y apoyo de dirección en el proyecto y un correcto diseño del SGSI. Este diseño ha de identificar y documentar el alcance y objetivos del SGSI, realizando la política de seguridad de la empresa, inventariando activos a incluir en el alcance, realizando un análisis de riesgos para poder llevar a cabo, a partir de las amenazas, vulnerabilidades e impactos, una valoración y posterior gestión del riesgo que nos permita seleccionar los controles necesarios para minimizar los riesgos existentes y con ello seleccionar los controles aplicables de la norma UNE-ISO/IEC 17799:2005.

Los objetivos de la Implantación de un SGSI se resumen en:

ISO 27001

Cuando una organización decide implementar un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 debe realizar un análisis de riesgos y después le prosigue una identificación de amenazas y vulnerabilidades.

Por amenaza podemos entender cualquier escenario o situación que potencialmente puede materializarse con un incidente de seguridad. El rango de amenazas al que está sometido el inventario de la empresa es muy variado:

Las organizaciones tienen que elabora una lista con todas las amenazas a las que se pueden ver sometidas para, después, evaluar la probabilidad que existen que dicha amenaza se haga real sobre los activos de información de la organización.

A la hora de estimar la probabilidad de que una amenaza se materializa, es necesario conocer si el activo de información es vulnerable o no ante dicha amenaza.

Ante las amenazas y los activos de información nos encontramos con el mismo caso. La pregunta que se debe hacer será la estimación de la probabilidad de materializaciones, por lo que se conocerá si el activo es o no vulnerable ante dicha amenaza.

Existen amenazas ante las que todos los activos de información son vulnerables, como puede ser los desastres, los siniestros y accidentes. Sin embargo hay otras en las que dependiendo la medidas y los controles de seguridad que se utilicen por parte de la organización, pueden ser o no vulnerables, como pueden ser las agresiones y actos intencionados.

 

El concepto de riesgo permite definir un marco de referencia para poder evaluar la seguridad de la información en la organización. El proceso seguido de evaluación y valoración permite que la organización determine el grado de exposición de sus activos y así poder definir una estrategia que reduzca el riesgo.

Con la maniobra de controles de seguridad, la empresa puede actuar sobre los factores de riesgo, disminuyendo las vulnerabilidades, mitigando la probabilidad de materialización de cualquier amenaza o reduciendo el impacto que se genera sobre los activos de la información en caso de que llegara a producirse un incidente.

Definir y ejecutar un Plan de Gestión de Riesgos facilitará a la empresa conseguir un nivel óptimo de seguridad definido por un riesgo residual. El riesgo residual es el conjunto de riesgos que la empresa considera asumible.

Definir el umbral de riesgo residual es una decisión que se encuentra relacionada con la prevención del riesgo en la organización.

Se debe reflexionar sobre la necesidad de desplegar un proceso de monitorización continua del riesgo. El entorno dinámico en que se encuentra la organización obliga a realizar cambios continuos para adaptarse. Los cambios se producen a diferentes niveles y en distintos entornos. Estos cambios pueden afectar al perfil de riesgo de la organización, es decir, el riesgo al que se encuentra sometido una organización puede variar a lo largo del tiempo y normalmente, suele seguir una tendencia creciente.

El proceso de evaluación y valoración de riesgos debe ser un proceso continuo, ya que se debe adaptar la estrategia de seguridad de la organización y ubicar a la misma el umbral de riesgo residal requerido.

La teoría es algo bastante fácil de entender, lo difícil llega cuando se quiere poner en práctica en una organización. Hay muchas organizaciones que desconocen lo que tienen, para qué lo usan, quiénes lo usan o quiénes lo deberían usar.

El problema se acrecienta cuanto más grande y compleja es la organización. Si una empresa no conoce cuantos activos tiene su sistema informático, difícilmente podrá abordar un análisis de riegos. Además, tampoco podrá ponerle valor, por lo que no sabrá a que vulnerabilidades y amenaza se encuentra expuesto.

En una organización grande las responsabilidades suelen estar repartidas por departamentos, por lo que estos suelen ser consiente de los activos que utiliza su departamento y por ahí podemos comenzar.

Sin embargo, el responsable de departamento no es conocedor de los activos de soporte, y algo similar ocurre en los departamentos de sistemas y comunicaciones.

Por lo que es complicado valorar algo intangible y mantenerlos razonablemente actualizados. Una vez se cumplan los requisitos legales, la característica de la Seguridad de los Sistemas de Información será mucho más fácil de justificar su disponibilidad.

Si se tratasen temas relacionados con la confidencialidad o integridad de la información, las discrepancias o la complejidad del tema serían enormes.

Los requisitos de seguridad son muy particulares dependiendo del sector en el que trabaje la organización y además, son relativamente dinámicos. El aspecto de mayor consideración a la hora de cuantificar el riesgo es la valoración del activo de información, ya que algo que antes podía se considerado de bajo riesgo puede haber evolucionado hasta convertirse hoy día en crítico.

 

Para evitar falsas sensaciones de seguridad se debe mantener el sistema lo más actualizado posible.

Cuando elaboramos un análisis de riesgo podemos caer fácilmente en la tentación de considerar la disponibilidad como característica principal de la seguridad. La disponibilidad es un concepto que casi todos conocemos, pero que sucede si se trata con otras dos dimensiones de seguridad.

Si abordamos la determinación del impacto relacionándola con la confidencialidad y la integridad, la valoración se complica mucho más.

Nos podemos preguntar ¿Cuánto vale la información que tiene una entidad o qué impacto supone su revelación pública? Para responder a esta pregunta nos debemos hacer otra pregunta ¿Cuánto estaría dispuesto a pagar vuestro departamento comercial por disponer de esa información? Obviamente, es complejo determinar el impacto económico en cualquiera de los casos, pero sí que es sencillo llevar a cabo estudios cualitativos.

A la hora de realizar un análisis de riesgos debemos tener en cuenta:

 

 

 


Especialización y experiencia: retrato robot del experto en ciberseguridad más buscado

El reciente ciberataque del ransomware WannaCry ha dejado claro que las organizaciones tienen mucho por hacer respecto a la ciberseguridad. También ha revelado la dificultad de atraer y retener talento para cubrir sus necesidades de personal cualificado en este ámbito.

“Hay cierta disparidad a la hora de precisar cuántos profesionales serán requeridos, pero hablamos de cientos de miles a nivel europeo”, afirma Jorge Laredo, profesor del Programa Ejecutivo en Ciberseguridad, Gestión y Protección contra las Amenazas de EOI e Iberia PMO manager y TS Consulting en Hewlett Packard Enterprise. “Un indicador de que la demanda a nivel mundial existe es que el tiempo necesario para cubrir las vacantes de personal cualificado es superior a dos meses en el 75% de los casos y hay un porcentaje que no se llega a cubrir”.

En este punto coinciden diversos estudios recientes, como ‘Hacking the Skills Shortage’, de McAffee y el Center for Strategic and International Studies, o ‘State of Cyber Security 2017’, elaborado por ISACA. Ambos alertan sobre la escasez generalizada de profesionales especializados en ciberseguridad y en que este hecho aumenta la vulnerabilidad de las organizaciones frente a los ciberdelincuentes.

¿Cuál es ese perfil tan deseado? Hablamos de una combinación de formación altamente especializada y experiencia profesional en el campo de la ciberseguridad, especialmente en detección de intrusiones, desarrollo de software seguro y respuesta a incidentes y mitigación de ataques. En palabras de Jorge Laredo: “Los perfiles que más se requieren tienen en común una cualificación elevada, como es el caso de arquitectos y consultores de seguridad con un conocimiento amplio y profundo, junto a expertos en áreas y herramientas específicas de seguridad que  requieren, además de formación, experiencia práctica”.

“La formación y las certificaciones son un primer paso, permiten distinguirse de otros aspirantes, pero las organizaciones destacan la verificación práctica del conocimiento como principal criterio en la selección”, añade.

Esa experiencia práctica tan preciada choca frontalmente con el hecho de que son nuevas profesiones que no existían hasta hace poco tiempo, lo aboca a la frustración a los responsables de selección de personal, al no existir suficientes perfiles con experiencia.

La retención de talento presenta en España una complicación adicional: salarios menos competitivos que otros países. “Los profesionales cualificados que dominen uno o varios idiomas tendrán pocos problemas para encontrar trabajo fuera de España mucho mejor pagado, agravándose con ello las carencias de personal”, subraya el experto de EOI.

Por último, al igual que en otras disciplinas tecnológicas, las mujeres están insuficientemente representadas en el ámbito de la ciberseguridad. El reciente estudio ‘The 2017 Global Information Security Workforce Study: Women in Cybersecurity’ habla de un 11% de mujeres empleadas en el sector a nivel global, porcentaje que se traduce en un 7% en Europa  y un 14% en Norteamérica. En paralelo, el documento revela que también en este ámbito se reproduce la habitual brecha salarial entre hombres y mujeres para idénticos cargos. En concreto, en Norteamérica esta diferencia es de un 3% en niveles directivos, de un 4% en puestos de management y de un 6% en el resto.

En sintonía con este informe, Jorge Laredo afirma: “Atraer mujeres a este campo puede ser una de las vías más fructíferas para reducir las necesidades insatisfechas de profesionales actuales y futuras”.


Ciberseguridad en la era de la Transformación Digital

Vivimos tiempos de transformación digital. Se dice que no es una época de cambios, sino un cambio de época. El Internet de las Cosas, el coche autónomo, el Big Data o el aprendizaje de las maquinas (Machine Learning) han dejado de ser meros conceptos a ser una realidad en nuestro día a día y a convertirse en elementos clave de la nueva “Economía 4.0”.

Somos la primera generacion “hiperconectada” y en este escenario cabe preguntarse: estamos listos para hacer de esta transformacion una ventaja competitiva? O, por el contrario, esta transformacion digital genera riesgos ante los que no estamos preparados? Y la respuesta es: depende. Depende de las bases que hayamos creado para soportar esta transformacion, y una de las mas importantes es la (ciber)seguridad. No se entiende la transformacion digital si no se construye sobre unos pilares sólidos en materia de seguridad que pasa por contar con una estrategia definida y dotada de los recursos adecuados .

En este nuevo escenario, los profesionales de la ciberseguridad aparecen como uno de los recursos más escasos. Si tradicionalmente la funcion de seguridad de la informacion estaba dedicada en gran medida a tareas muy operativas o de complimiento (LOPD, PCI, SOX,…), en el nuevo entorno digital estos profesionales deben estar directamente involucrados en la definicion de la propia estrategia de las companias. Pero el problema es que son un recursos escaso y, a dia de hoy, no hay suficientes profesionales para cubrir la demanda actual y, peor aun, la demanda futura que van a generar todas las tendencias y modelos de negocio de los que hablabamos al principio.

Hay algo que debemos tener claro: la ciberseguridad no es un problema exclusivo de los gobiernos o las grandes corporaciones. Somos, en mayor o menor medida, dependientes de la tecnologia e incidentes recientes como WannaCry nos lo recuerdan. Tambien los números hablan por sí solos; el Informe Anual de Seguridad Nacional 2016 [1] destaca el incremento en el número de ataques cibernéticos hasta el punto de haberse triplicado desde 2013 (7.263 incidentes) hasta 2016 (21.000 incidentes)

Pero esta tendencia no es una cuestión exclusiva de nuestro país, sino que se trata de una tendencia global. Ya en 2012 el Foro Económico Mundial identificó un riesgo, por aquel entonces aún no tan presente, en el top 5 de riesgos “probables” de afectar la estabilidad mundial. Este riesgo era el de Ciberataque [2]. En ese momento, muchos comenzaron a considerar seriamente el impacto que una ciber-disrupcion podría llegar a tener para las compañías, los ciudadanos o las naciones.

Por tanto, el panorama de amenazas crece mas rapido que la cantidad de profesionales expertos en ciberseguridad, y es por eso que la formacion, la práctica y sobre todo la tan necesaria inversión en medios materiales y humanos de las empresas ha dejado de ser una opción para convertirse en una necesidad. Solo aquellas organizaciones que hoy lo tengan claro serán capaces de moverse en este nuevo entorno de “Transformación Digital Segura”.

 

[1] http://www.lamoncloa.gob.es/serviciosdeprensa/notasprensa/Documents/140217-Informe_Anual_de_Seguridad_Nacional_2016.pdf

[2] http://reports.weforum.org/global-risks-2017/the-matrix-of-top-5-risks-from-2007-to-2017/

 

Ivan Sánchez López

Director de Seguridad de la Información

Grupo SANITAS


y cuando nos desprendemos de ellos….????

blog


blog


PROTEGETE DESDE DENTRO

El problema para los datos a veces puede estar dentro del propio teléfono, y no fuera. No hace falta que nadie robe el móvil para que, de repente, se pueda perder o corromper su contenido. Para ello:


Píldora de concienciación

Tu vida es sólo tuya!

 

pildora

 


PILDORA

pildora2


Píldora de concienciación

pildora-de-concienciacion



Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies